Server, die von Einzelpersonen bei sich ständig ändernden IPs belästigt werden

10

Wir betreiben ein Community-Produkt. In Großbritannien gibt es eine Person (ein kleines PoS-Kind), die unsere Website in den letzten 6 Monaten belästigt. Seine tägliche Aufgabe ist es, ein neues Konto zu erstellen, eine Reihe illegaler / entzündlicher Inhalte zu veröffentlichen, die Anzahl der Personen zu erhöhen und dann innerhalb weniger Stunden von einem Administrator gelöscht zu werden. Dann wiederholen.

Seine IP-Adresse ändert sich jedes Mal, wenn er ein neues Konto erstellt (entweder mithilfe eines Proxys oder eines ähnlichen Tools). Die einzige Gemeinsamkeit ist die oberste Ebene 92.xxx. Wir haben versucht, die britischen Behörden zu kontaktieren. Obwohl sie interessiert sind, haben sie nichts umsetzbares bereitgestellt. In der Zwischenzeit dauert diese Belästigung täglich an.

Hat jemand Erfahrung, wie man das tötet? Ich bin hier ziemlich am Ende meines Witzes und hoffe, dass jemand, der sich zuvor damit befasst hat, eine Anleitung geben kann.

Danke im Voraus.

security denial-of-service brute-force-attacks cookies
quelle
Welche Art von Server-Betriebssystem verwenden Sie?
Patrick R
Gibt es eine Chance, dass der UserAgent identifizierbar ist oder dass die Webanfragen ein Muster enthalten?
Dscoduc
Redhat 5, LAMPENstapel.
1
Ich hoffe, das ist RHEL 5 und nicht Red Hat 5.0, das uralt ist ...: P
Avery Payne
Sie können iwf.org.uk ausprobieren oder sich an UK CERT ukcert.org.uk wenden, um zu erfahren , ob sie bessere Kontakte beim ISP oder einen geeigneten Kontakt für die Strafverfolgung in Großbritannien anbieten können, wenn die Beiträge so schlecht sind.
Sim

Antworten:

18

Anstatt es zu blockieren, können Sie einen anderen Ansatz verwenden - ich glaube, ich habe es in einem der SO-Podcasts gehört und / oder vielleicht auch SO verwendet.

Löschen Sie nicht das Konto und die Beiträge - machen Sie sie nur für dieses Konto und sonst niemanden sichtbar. Das Kind wird es weiter versuchen, während Sie sein Spiel spielen. Wenn er sieht, dass seine Kommentare nicht gelöscht werden, kann er das Interesse verlieren. Sie können die Kommentare für das gesamte 92.xxx-Subnetz sichtbar lassen, in der Hoffnung, dass er es nie bemerkt und Sie andere Benutzer nicht beleidigen.

Sonnig
quelle
Ich mag diesen Ansatz Sunny. +1
Patrick R
+1 Ja, das ist radikal ordentlich
Oskar Duveborn
Sehr kreativ. Ich mag es sehr. =)
Wesley
2
Nett. Aber wie würde dies umgesetzt werden? Stellen Sie einen Beitrag von 92/8 so ein, dass er nur in 92/8 sichtbar ist, da Angriffe von 92/8 ausgehen? Was ist mit anständigen Menschen in 92/8?
Paul
3
Warten Sie, bis er ein neues Konto erstellt und auf dieses Konto angewendet hat, anstatt es sofort zu verbieten? Ja, er wird noch ein paar Konten machen, aber wenn er nicht häufig "gebannt" wird, wird er wahrscheinlich nicht zu viele machen.
Frenchie
4

Wenn es verfügbar ist, können Sie versuchen, neue Konten zu genehmigen oder den ersten Beitrag eines neu erstellten Kontos zu genehmigen.

dimitri.p
quelle
Einverstanden. Dies ist genau der Grund, Beiträge zu moderieren.
John Gardeniers
2

Ich würde versuchen, eine der IP-Adressen zum Anbieter zurückzuverfolgen (zu verfolgen), eine E-Mail-Adresse / Nummer für Missbrauchskontakte für den Anbieter nachschlagen und die IP-Adresse melden.

Wenn sich der Benutzer in einem öffentlichen Netzwerk befindet, befinden Sie sich in einer Sackgasse. Wenn es sich jedoch um ein Unternehmen oder einen Wohnsitz handelt, können Sie möglicherweise eine Anfrage zum Besitz der IP-Adresse anfordern.

Dscoduc
quelle
Wir haben dies getan, und der ISP ist (normalerweise) ein Carphonewarehouse. Angesichts der abscheulichen Natur dessen, was dieses Kind veröffentlicht (denken Sie, Kinder, Tiere und andere in unglaublichen Details zu verletzen), hofften wir, dass Beispiele + IP-Adressen + Zugriffszeiten ausreichen würden, um sie zu motivieren. Sie haben bestätigt, die Daten erhalten zu haben, aber in der Zwischenzeit sehen wir ihn weiterhin jeden Tag.
1

92.0.0.0 unterliegt der Autorität von RIPE . Suchen Sie also die spezifische IP in der RIPE-Datenbank und finden Sie heraus, welches Netzwerk die direkte Kontrolle über diese IP hat. Dann können Sie sie den richtigen Kanälen für diesen Bereich melden.

Wesley
quelle
1

Das Blockieren eines gesamten Netzwerks scheint ein wenig übertrieben. Könnten Sie Ihre Website für ein oder zwei Wochen auf schreibgeschützt umstellen? Wenn es nur ein Kind ist, das seine Spaß macht, wird es ihm langweilig und er geht weiter.

Es besteht auch die Möglichkeit, dass dies durch eine Malware auf dem Computer einer völlig unschuldigen Person verursacht wird. Das sollte immer als mögliche Quelle für diese Art von Angriff angesehen werden. Es ist ein wenig unwahrscheinlich, dass ein Mensch über einen solchen Zeitraum einen so anhaltenden Angriff ausführt - täglich für volle 6 Monate ist ziemlich extrem.

Ich würde für ein starkes CAPTCHA bei der Erstellung neuer Konten (und bei allen nicht registrierten Buchungsmöglichkeiten, die Sie möglicherweise haben) und bei der Genehmigung neuer Konten stimmen (obwohl es Ihnen möglicherweise den Kopf zerbrechen könnte, wenn dies kontinuierlich geschieht). Das sollte beide möglichen Möglichkeiten erfassen.

Maximus Minimus
quelle
Das OP hat bereits angegeben, dass dies seit 6 Monaten geschieht, sodass sich diese bestimmte Person nicht so schnell langweilt. Mehr ist schade.
John Gardeniers
0

Anstatt den Zugriff auf das 92/8-Netzwerk vollständig zu blockieren, kann es ausreichend sein, die Erstellung neuer Konten zu blockieren (oder die Genehmigung des Administrators zu erfordern).

Dies würde den Kollateralschaden durch die Personen in diesem Netzwerk vermeiden, die Ihre Site besuchen (und bereits über Konten verfügen).


quelle
0

Keiner der Vorschläge wird Ihnen helfen.

Diese Art von Menschen betreibt Spyware / Malware, die ihnen PCs auf der ganzen Welt öffnet. Denken Sie nicht einmal daran, IPs oder IPs zu blockieren, und erwarten Sie langfristige Ergebnisse.

Jetzt haben Sie nur einen von ihnen, was großartig ist. Stellen Sie sich vor, was es wäre, wenn sie 10 oder noch mehr wären.

Sie müssen die Funktionsweise Ihrer Anwendung ändern.

Hier einige Ideen:
- Wenn das Konto nicht mindestens 24 Stunden alt ist
- Registriert bei Yahoo, Gmail, Hotmail / MSN.

Verhindern Sie Antworten oder lassen Sie sie von Administratoren akzeptieren.

Aber zuallererst könnten Sie wahrscheinlich Ihre neue Benutzerregistrierung verschärfen.
Ein gutes Beispiel ist, dass sich Spammer häufig mit Ausschneiden und Einfügen oder sogar Bots anmelden. Sie machen häufig RIESIGE Fehler, die direkt bei der Registrierung zu sehen sind, wie:

  • Vorname, Name, Stadt, ...
  • Einfache Passwörter

Schauen Sie sich die Registrierung dieses Typen an, Sie sollten solche Dinge finden. Wenn Sie welche finden, setzen Sie diese bei der Registrierung durch. Dadurch muss er dies alles korrigieren, um sich anzumelden. Was ihn 30 Sekunden gekostet hat, wird jetzt wie die meisten Menschen Minuten dauern. Stellen Sie nur sicher, dass Sie nicht jeden neuen Benutzer damit bestrafen.

Optional können Sie für alle Kommentare eine Filterung nach einer Datenbank in Betracht ziehen. Wenn ein Kommentar markiert ist, wird er gelöscht, Benutzer warnen oder die Genehmigung des Administrators erfordern.

Akismet könnte möglicherweise die Arbeit erledigen oder zumindest einen guten Teil davon. Wenn Sie Wordpress nicht ausführen, verwenden Sie eine API für die Sprache, die Ihre Anwendung verwendet.

Sie werden wahrscheinlich mit vielen kleinen Änderungen ein besseres Ergebnis erzielen als mit einer radikalen Lösung.

Viel Glück.

Embreau
quelle
-2

Am einfachsten und wohl effektivsten ist es, 92.0.0.0/8 zu blockieren (0.255.255.255 in Wildcard natürlich). Dies hat den Nachteil, dass etwa 1/200 des nutzbaren Internetraums vom Zugriff auf Ihre Website entfernt wird.

Abhängig davon, wie frustriert Sie sind - und es ist sicherlich nicht IT-koscher (abhängig davon, aus welchem ​​Land Sie stammen und wo Sie gehostet werden), können Sie eine beliebige Anzahl von Sicherheitslücken in den heute verfügbaren Webbrowsern verwenden und rm -rf oder löschen Format C: -f angemessen, es ist zwielichtig und wahrscheinlich unethisch, aber es wurde (natürlich anekdotisch) von Admins mit etwas humorvollen Ergebnissen verwendet.

Nur als Hinweis: Missbrauchskontakte sind ein Witz. Ebenso bei Strafverfolgungsbehörden. Es sei denn, Sie haben viel Geld verloren und können dies anhand von Abschlüssen nachweisen. Viel Glück beim Erhalten von etwas. Zumindest funktioniert das bei den Feds in den USA so Ich kann nicht viel mit Großbritannien sprechen.

ŹV -
quelle
Das einzige Mal, dass ich Missbrauchskontakte gesehen habe, ist, wenn ein ISP Müll in seine IANA-Aufzeichnungen gesteckt hat, den ich gefunden habe, weil sie Spam waren. Ich habe ein sehr schnelles Ergebnis von ihrem internationalen Link erhalten, als ich ihnen eine E-Mail darüber geschickt habe!
Staticsan
Mein Punkt ist bewiesen. Wenn ich "Missbrauchskontakte" sagte, meine ich in Bezug auf Hacking und ich stelle mir vor allem Belästigungsversuche vor, ich habe noch nie buchstäblich NIE von Erfolg auf ISP-Ebene gehört.
ŹV -
1
-1 für das rm -rf (was hoffentlich als Witz gedacht war).
Maximus Minimus
3
rm -rf ist nie ein Witz.
ŹV -
2
Abgesehen von Ethik und Moral: Wenn er genug über die Person wusste, um einen gezielten Angriff gegen seinen PC zu starten, glaubst du nicht, er könnte die Person einfach blockieren? Auf keinen Fall eine praktikable Option
einstiien